Spis treści

Księgarnia PWN: Florian Rommel - Active Directory – odtwarzanie po awarii
Spis treści
O autorze ..................................................................................................................................... 9
O recenzentach.......................................................................................................................... 11
Wstęp ......................................................................................................................................... 13
Zawartość książki............................................................................................................... 14
Dlaczego ta książka jest potrzebna .................................................................................... 14
Konwencje.......................................................................................................................... 15
Rozdział 1. Odtwarzanie usługi Active Directory po awarii – przegląd.............................. 17
Czym jest odtwarzanie po awarii? ..................................................................................... 18
Dlaczego potrzebne jest odtwarzanie po awarii (DR – Disaster Recovery) ...................... 20
Skróty stosowane w tej książce.......................................................................................... 22
Odtwarzanie usługi katalogowej Active Directory po awarii ............................................ 23
Rodzaje awarii i scenariusze omówione w tej książce...................................................... 24
Odtwarzanie skasowanych obiektów......................................................................... 24
Awaria sprzętowa jednego kontrolera DC................................................................. 25
Uszkodzenie usługi AD na jednym kontrolerze DC.................................................. 26
Uszkodzenie usługi AD w jednej lokacji .................................................................. 27
Uszkodzenie AD w całej korporacji – pełne uszkodzenie......................................... 27
Uszkodzenie sprzętowe w całej lokacji ..................................................................... 27
Awaria sprzętu w całej korporacji ............................................................................. 28
Podsumowanie ................................................................................................................... 29
Rozdział 2. Zasady projektowania usługi Active Directory.................................................. 31
Elementy usługi AD........................................................................................................... 32
Las usługi AD............................................................................................................ 32
Drzewo usługi AD ..................................................................................................... 33
Jednostki OU i obiekty−liście .................................................................................... 33
Lokacje w Active Directory ...................................................................................... 34
Obiekty GPO (Group Policy Objects – obiekty zasad grupy)................................... 36
Projekt domen: pojedynczy las, pojedyncza domena, sieć o topologii gwiazdy ............... 37
Projekt domen: pojedynczy las, pojedyncza domena, pusta domena podstawowa
(root), sieć o topologii gwiazdy ......................................................................................... 38
Projekt domen: las z wieloma domenami .......................................................................... 40
Projekt domen: wiele lasów ............................................................................................... 40
Lokacja opóźnienia (lokacja LRS – Lag Replication Site)................................................ 41
Projektowanie własnej usługi Active Directory................................................................. 43
Standardy nazw.......................................................................................................... 45
Przydzielanie nazw użytkowników i kont usług............................................... 45
4
Active Directory – odtwarzanie po awarii
Nazewnictwo obiektów GPO (obiektów zasad grupy) ..................................... 45
Projektując, trzeba pamiętać o skalowalności ........................................................... 46
Role FSMO (Flexible Single Master Operation Roles)............................................. 48
Migracja z innych usług uwierzytelniania................................................................. 52
Aktualna dokumentacja i bezpieczeństwo ......................................................................... 53
Dokumentacja............................................................................................................ 54
Kopie zapasowe ......................................................................................................... 56
Podsumowanie ................................................................................................................... 56
Rozdział 3. Przygotowywanie „Planu odtwarzania po awarii” dla firmy.......................... 57
Analiza ryzyka, zagrożeń i sposobów ograniczenia szkód ................................................ 58
Dwuczęściowy poradnik: opracowywanie „Planu odtwarzania po awarii”
w dziesięciu krokach .......................................................................................................... 62
Część 1. Kroki ogólne ............................................................................................... 63
Obliczenia i analiza ........................................................................................... 63
Tworzenie „Planu utrzymania ciągłości działania firmy” (planu BCP) .......... 63
Prezentacja części 1. i 2. dla zarządu firmy ...................................................... 65
Określenie obowiązków i zakresów odpowiedzialności................................... 65
Szkolenie personelu na wypadek odtwarzania po awarii (DR)......................... 66
Plan DRP należy często testować ..................................................................... 68
Część 2. Implementacja „Planu odtwarzania AD po awarii” (planu DRP).............. 69
Nie wystarczy napisać....................................................................................... 69
Każdy musi wiedzieć, gdzie znajduje się plan DRP ......................................... 69
Określenie kolejności odtwarzania różnych części systemu (najpierw
kontroler w lokacji centralnej (hub), następnie dodać jeden serwer itd............ 70
Powrót do prezentacji dla zarządu .................................................................... 70
Podsumowanie ................................................................................................................... 71
Rozdział 4. Wzmacnianie odporności usługi Active Directory na uszkodzenia................. 73
Podstawowe koncepcje bezpieczeństwa ............................................................................ 73
Strategia zabezpieczania domeny .............................................................................. 73
Strategia zabezpieczania kontrolerów domen ........................................................... 74
Zabezpieczenia konfiguracji DNS ..................................................................................... 75
Bezpieczne aktualizacje............................................................................................. 75
Opcja Split Zone DNS............................................................................................... 76
Strefy AD Integrated Zones (strefy zintegrowane z Active Directory).................... 77
Konfigurowanie DNS do działania na serwerze rezerwowym po awarii
serwera głównego (tryb failover).............................................................................. 78
Protokół dynamicznego konfigurowania komputera macierzystego (protokół
DHCP) w Active Directory ....................................................................................... 79
Ścisła kontrola uprawnień i delegacje................................................................................ 80
Właściwa delegacja użytkownika.............................................................................. 82
Delegowanie pełnej kontroli grupie użytkowników ......................................... 83
Delegowanie ograniczonej kontroli .................................................................. 85
Grupa upoważniona do resetowania haseł ........................................................ 87
Centralny dziennik zdarzeń................................................................................................ 88
Właściwe zarządzanie zmianami ....................................................................................... 89
Spis treści
5
Wirtualizacja i lokacje opóźnienia ..................................................................................... 91
Przypisanie zasobów.................................................................................................. 91
Kopie zapasowe i zrzuty............................................................................................ 92
Zautomatyzowane instalowanie serwerów ................................................................ 92
Przystawka Sites and Services (lokacje i usługi)....................................................... 93
Tworzenie lokacji, podsieci i łączy lokacji ....................................................... 94
Ustawianie harmonogramów replikacji i kosztów ............................................ 98
Koszt ................................................................................................................. 99
Ustalanie harmonogramu ................................................................................ 100
Harmonogram replikacji dla lokacji................................................................ 102
Harmonogram dla łącza .................................................................................. 104
Lokacje opóźnienia i ciepłe lokacje......................................................................... 105
Konfigurowanie lokacji opóźnienia ................................................................ 106
Tworzenie, konfigurowanie i wykorzystywanie ciepłej lokacji ..................... 108
Podsumowanie ................................................................................................................. 110
Rozdział 5. Uszkodzenie Active Directory na kontrolerze domeny ................................... 111
Problemy i symptomy ...................................................................................................... 111
Symptomy................................................................................................................ 111
Przyczyny......................................................................................................................... 112
Rozwiązanie (odtwarzanie) .............................................................................................. 112
Szczegóły rozwiązania ..................................................................................................... 112
Sprawdzanie uszkodzenia........................................................................................ 112
Narzędzia diagnostyczne................................................................................. 113
Program Sonar ......................................................................................................... 116
Możliwość usuwania uszkodzeń i zatrzymywania rozprzestrzeniania się
przekłamań............................................................................................................... 117
Opcja pierwsza: przywrócenie Active Directory z kopii zapasowej............... 119
Opcja druga: replikacja ................................................................................... 125
Opcja trzecia: odbudowa kontrolera domeny z nośników (Install from
Media) ............................................................................................................. 127
Podsumowanie ................................................................................................................. 129
Rozdział 6. Odtworzenie jednego uszkodzonego kontrolera DC ....................................... 131
Problemy i symptomy ...................................................................................................... 131
Przyczyny......................................................................................................................... 131
Proces rozwiązywania problemu...................................................................................... 131
Szczegóły rozwiązania ..................................................................................................... 132
Wyczyszczenie Active Directory przed rozpoczęciem odtwarzania....................... 132
Usunięcie z Active Directory rekordów starego kontrolera domeny.............. 133
DNS i akcje graficzne potrzebne do zakończenia procesu ............................. 142
Odtwarzanie uszkodzonego kontrolera DC .................................................... 145
Podsumowanie ................................................................................................................. 145
Rozdział 7. Odtwarzanie utraconych lub usuniętych użytkowników i obiektów ........... 147
Problemy i symptomy ...................................................................................................... 147
Przyczyny......................................................................................................................... 147
6
Active Directory – odtwarzanie po awarii
Proces rozwiązywania problemu...................................................................................... 148
Obiekty fantomowe (Phantom Objects) .................................................................. 148
Relikty (obiekty typu Tombstone)........................................................................... 148
Wydłużanie czasu życia reliktów (TSL) ......................................................... 150
Obiekty uporczywe (Lingering Objects) ................................................................. 151
Wymagania.............................................................................................................. 152
Metoda 1. Odtwarzanie usuniętych lub utraconych obiektów za pomocą
udoskonalonego programu NTDSutil...................................................................... 153
Metoda 2. Odtwarzanie usuniętych lub utraconych obiektów za pomocą
podwójnego przywrócenia....................................................................................... 159
Metoda 3. Ręczne odtwarzanie usuniętych bądź utraconych obiektów .................. 159
Odtwarzanie obiektów GPO .................................................................................... 163
Kopiowanie za pomocą wtyczki GPMC z konsoli MMC............................... 164
Przywracanie za pomocą wtyczki GPMC....................................................... 165
Jeśli nie mamy wtyczki GPMC....................................................................... 167
Podsumowanie ................................................................................................................. 168
Rozdział 8. Pełna awaria Active Directory........................................................................... 169
Scenariusz ........................................................................................................................ 169
Przyczyny......................................................................................................................... 169
Proces odtwarzania........................................................................................................... 169
Część 1. Przywracanie pierwszego kontrolera w domenie podstawowej............... 170
Część 2. Odtwarzanie pierwszego kontrolera we wszystkich pozostałych
domenach................................................................................................................. 181
Część 3. Określanie kontrolera domeny podstawowej jako katalogu
globalnego ............................................................................................................... 183
Część 4. Odtwarzanie dodatkowych kontrolerów w lesie przez
zainstalowanie Active Directory.............................................................................. 185
Kroki po odtworzeniu .............................................................................................. 185
Podsumowanie ................................................................................................................. 186
Rozdział 9. Awaria lokacji w infrastrukturze Active Directory (sprzęt)........................... 189
Scenariusz ........................................................................................................................ 189
Przyczyny......................................................................................................................... 189
Proces odtwarzania........................................................................................................... 190
Do rozważenia: różny sprzęt i „goły metal”............................................................ 190
Do rozważenia: oprogramowanie ............................................................................ 191
Proces przywracania ................................................................................................ 192
Środowiska wirtualne .............................................................................................. 199
Podsumowanie ................................................................................................................. 201
Rozdział 10. Narzędzia używane przy odtwarzaniu........................................................... 203
Oprogramowanie kontrolerów DC i administracja ......................................................... 203
Narzędzia pomocnicze (Support Tools) systemów Windows ................................. 204
Narzędzia zestawu Resource Kit ............................................................................. 205
Pakiet Adminpack dla klientów Windows XP/Vista............................................... 205
Narzędzia diagnostyczne i rozwiązywanie problemów ................................................... 207
Spis treści
7
Narzędzie DcDiag.................................................................................................... 207
Narzędzie NetDiag .................................................................................................. 210
Monitorowanie za pomocą programów Sonar i Ultrasound ........................................... 214
Program Sonar – informacje wstępne...................................................................... 214
Program Ultrasound – informacje wstępne ............................................................. 216
Zakładka Details.............................................................................................. 219
Historia alarmów (Alert History) .................................................................... 219
Zakładki Summary i Advanced....................................................................... 221
Podsumowanie ................................................................................................................. 224
Dodatek A. Przykładowy „Plan utrzymania ciągłości działania firmy” ........................... 225
„Plan utrzymania ciągłości działania w Nailcorp” .................................................. 225
CEL ................................................................................................................. 225
Opis usługi............................................................................................................... 226
ZAKRES.................................................................................................................. 226
Osoby odpowiedzialne i ich role ............................................................................. 226
CELE ....................................................................................................................... 227
Co chcemy osiągnąć za pomocą tego dokumentu........................................... 227
Ogłoszenie „Planu utrzymania ciągłości działania firmy” ...................................... 227
DRZEWO POWIADAMIANIA ............................................................................. 227
Kryteria ogłoszenia awarii usługi Active Directory ................................................ 228
Przywrócenie funkcjonalności................................................................................. 229
Lokacja (lub lokacje) odtwarzania........................................................................... 229
Materiały potrzebne w lokacji alternatywnej .......................................................... 230
ETAPY ODTWARZANIA USZKODZONEGO KONTROLERA DC................. 230
DODATKI ............................................................................................................... 231
Osoby odpowiedzialne za działanie usługi AD .............................................. 231
Dokumentacja dotycząca aplikacji lub usługi dołączona do tego planu......... 231
Kontakty zewnętrzne i kontrahenci................................................................. 232
Formularze oceny szkód .......................................................................................... 232
SŁOWNICZEK ....................................................................................................... 233
Bibliografia.............................................................................................................................. 237
Indeks....................................................................................................................................... 245